东莞市卫生统计信息中心：“1+4+N”多层级协同智慧安全监测处置及运营体系建设

发布时间：2024-08-19

　　2024年医院新兴技术创新应用典型案例征集活动经行业专家背靠背盲审以及终审，共选出20篇典型案例，将陆续刊登出来，以飨读者。

　　1项目简介

　　国家卫生健康委《“十四五”全民健康信息化规划》提出要“完善网络安全和数据安全责任体系和管理制度”，“完善行业网络安全和数据安全监测、检查和通报机制，增强网络安全和数据安全应急响应能力，全面提升网络安全和数据安全管理能力”。

　　(1)基本情况

　　医疗行业信息系统涉及民生和健康医疗数据海量+敏感的特性，近年来是黑客组织关注的重点，全国范围内医疗机构的网络安全事件时有发生。

　　近年来，在东莞市委市政府大力支持下，东莞市卫生健康局建设了接入达500多家单位的双运营商双裸纤+5G专网融合的“1+1”东莞市卫生健康信息专网(以下简称“信息专网”)、3个数据中心机房和卫生健康专属云，有力支撑着区域和医疗卫生机构数千个信息系统的使用。

　　东莞市卫生统计信息中心是东莞市卫生健康局直属一类事业单位，是全市卫生健康行业信息化和网络安全工作技术主管部门。为全面保障全网网络和数据安全，构建1个可扩展检测与响应底座+态势感知、主机安全、攻防对抗和持续运营4个能力模块+N个应用场景和服务流程的“1+4+N”多层级协同智慧安全监测处置及运营体系，全面提升整体网络安全监测预警、安全处置和安全运营能力。

　　(2)存在的问题

图1 东莞市卫生健康行业网络安全问题分析

2建设内容

　　(1)加强顶层设计

　　根据国家、省市关于网络和数据安全的法律法规和技术规范，结合东莞市卫生健康行业特点，从战略规划、技术实施、政策法规、组织管理、培训教育和交流合作等多个方面着手，编制全行业网络和数据安全体系架构。

　　(2)建立健全网络与数据安全管理体系

　　1)多层级协同组织架构。成立以局主要领导为组长的网络与信息化工作领导小组成员，“一把手”亲自抓网络和数据安全工作。成立涵盖市委网信办、市委机要局、市政数局、广东医科大学以及医疗卫生机构等人员组成的东莞市卫生健康行业网络安全专家库。把网络和数据安全纳入公立医院年度考核考评。强化与市委网信办等网络安全管理部门协同作战机制。

　　2)落实“三同步”要求。实行卫生健康信息化建设项目申报审批制度，项目方案技术评审时加强网络安全、数据安全、国产化改造及商用密码应用建设的技术把关及指导，督促落实“新建信息化项目中网络与数据安全预算不得低于项目总预算的5%，年度信息化投入中网络安全投入占比不少于5%”预算投入要求。进一步推动网络安全等级保护工作，提高全行业信息系统等级保护备案定级率。

　　3)强化供应链安全管理。规范供应链单位参与卫生健康信息数据中心、健康云和信息专网建设、运营、维护以及卫生健康数据处理等工作的安全管理，指导各医疗卫生机构参照局模式加强供应链安全管理，保障卫生健康行业网络和数据的安全。

　　(3)分级部署，搭建二级平台

　　采用“市卫生健康局平台-医疗卫生机构平台”二级平台设计，市局和医疗卫生机构分别建设网络安全态势感知平台和主机安全攻击检测与溯源平台并对接，及时收集、汇总各方网络安全信息数据，加强上下级平台联动分析，全面提升整体网络安全监测预警和安全处置能力。

　　1)建设市级网络安全态势感知平台。由东莞市卫生统计信息中心统筹建设市级平台和购买46套网络探针系统，分发给全市公立医疗卫生机构使用，既解决各单位预算不足问题又能实现全市一套平台管理。同时，督促各医疗卫生机构加紧建设二级态势感知平台并与市级平台对接。

　　2)建设主机安全攻击检测与溯源平台。由东莞市卫生统计信息中心统筹建设市级平台和购买250个主机，授权分发给全市公立医疗卫生机构使用。

　　3)建设全网网络安全运营平台。对主机安全检测与攻击溯源平台、安全态势感知平台及各类安全设备等安全事件数据收集，通过算法对采集到的数据进行清理、分析，保留有价值的数据，将数据通过图形化、表格化等方式进行展示。通过7x24小时的专家监测服务对不同类型的事件进行聚合分析，及时发现安全威胁，通过工单自动发送给涉及单位，事件单位完成整改后通过平台上传报告，技术团队再查验复核后归档，实现网络和数据安全事件监测处置闭环管理。

图2 MSS安全运营趋势图

　　(4)提升网络与数据安全监测、防护及应急能力

　　1)强化数据安全管理及防护能力。建立健全数据安全管理制度、操作规程及技术要求，规范健康医疗数据使用申请及批准流程，保障信息数据的产生、传输、存储和使用过程中的安全。开展重要信息数据识别，建立完善数据安全资产管理台账，推进健康医疗数据分类分级安全管理。开展数据安全风险评估，及时掌握数据安全状态。

　　2)提升新技术新业态安全防护能力。加强云计算、大数据、物联网、移动互联网、人工智能、区块链等新一代信息技术场景应用的安全保护。探索区块链、人工智能、零信任、云安全等新兴技术在网络和数据安全领域的运用。提供卫生健康信息专网5G接入服务，作为光纤链路热备补充和移动办公安全接入通道。提供卫生健康云DMZ区服务，提高“互联网+医疗健康”服务的安全防护能力。未来还将探索GPT在网络安全领域的应用，让安全管理和技术能力服务于各级管理领导，让管理人员随时能通过问答方式了解本区域或机构的网络安全态势情况、与安全标准规范建设的差距情况、安全工作任务清单以及安全报告的起草等内容。

图3 安全GPT应用

　　3)提升安全事件应急处置能力。建立健全卫生健康系统网络安全事件应急预案，规范网络安全事件通报及应急处置流程，开展网络安全事件应急演练，依托卫生健康网络安全专家库力量建立应急技术支撑队伍，增强处置重大网络与数据安全事件的响应与处置能力。

　　(5)开展网络与数据安全专项行动

　　1)开展数据安全和个人信息保护专项检查。开展2024年度专项检查，对上阶段专项检查发现问题整改情况回头看，规范个人信息处理活动，提高数据安全保障和个人信息保护能力。

　　2)参与省市网络安全攻防演练活动。按省市有关工作部署，积极组织医疗卫生机构参与实兵、实网、实战攻防演练活动，挖掘深层次漏洞隐患，检验防范应对网络攻击能力以及监测发现、快速协同、应急处置等能力。

　　3)开展弱密码等风险隐患常态检查。定期对卫生健康信息专网接入单位开展弱密码、勒索病毒、挖矿病毒等风险隐患检查，及时通报问题单位并指导整改。

　　(6)加强宣传教育和专业人才建设

　　1)开展网络安全宣传周活动。按省市网信办工作部署，举办“健康东莞安全护航”2024年东莞市卫生健康网络安全宣传周活动，开展网络安全宣传周活动作品征集活动，营造网络与数据安全浓烈氛围，提高全行业网络与数据安全防范意识。

图4 东莞市卫生健康网络安全宣传周活动

　　2)举办系列专业技术培训。依托东莞市医院协会信息管理分会构建“东莞市卫生健康网络安全学堂”、“东莞华为智慧医疗学堂”及“东莞市网络安全宣传教育基地”的“2+1”网络安全和信息化人才培养体系，其中“东莞市卫生健康网络安全学堂”重点关注网络与数据安全领域热点和难点，邀请行业专家对患者隐私保护、数据灾备实践、数据库双活集群、健康医疗数据分类分级安全管理等专题内容开展技术培训交流。

　　3)组织参加国家省市各类网络与数据安全竞赛。积极统筹组织队伍参加全国卫生健康行业网络安全技能大赛和广东省卫生健康行业网络安全技能大赛，以赛促建、以赛促管、以赛促改，并通过赛事发现、选拔、培养优秀网络安全专业人才，逐步提升网络与数据安全队伍的专业化能力。

3项目亮点

　　(1)借助安全XDR技术应对数字时代威胁

　　采用XDR网端关联引擎，自动高效地串联起多维度安全信息，不仅提高对未知威胁、隐蔽攻击的检出率，还通过充分的溯源举证，大幅提高安全事件的准确度，帮助安全团队能做判断，敢做判断，高效处置。

　　(2)深度融合AI技术，充分发挥人工智能效果

　　整合多种 AI 技术, 实现三方设备自动化接入, 大幅提升多源数据接入的效率，根据接入的数据动态生成对应的自动解析规则, 快速学习适配、快速验证接入效果，提升告警研判效率, 快速挖掘高价值告警。

　　(3)网格化、标准化、流程化，建立东莞卫生健康系统安全管理“共同体”

　　通过“1+4+N”安全架构体系，实现各医疗机构主体在网络安全治理服务上互联互动、融合发力，形成了区域统筹、条块协同、上下联动、共建共享的“治理引擎”。

　　(4)可扩展的安全检测与响应平台

　　XDR为网络空间安全提供统一的全局视野，真正实现网络空间全面可见性，让网络安全不仅具备可观测性，更具有可见预判性。通过攻击故事线还原，提升安全研判及溯源的效率。通过智能聚合与关联，驱动安全运营人员由关注告警(Alerts)向注重事件(Incidents)的质变。

4项目成效

　　2023年，平台人工智能自动化分析日志共4.16亿条，对疑似威胁开展23,342次人工审核，捕获攻击112.1万次，自主监测预警发现风险隐患并通报32个单位共134次，有力的支撑了粤网安、莞盾等广东省市网络安全攻防演练，获得多项行业和市直单位优秀防守单位荣誉，有力保障了全民健康信息平台、卫生应急与院前医疗急救调度协同平台、区域电子病历共享平台等区域信息系统和各医疗卫生机构信息系统的安全稳定应用服务。

　　平台2023年网络安全每月日志分析数如下：